Partager via


Exporter des alertes et des recommandations avec l’exportation continue

Microsoft Defender pour le cloud fournit une exportation continue de données de sécurité. Cette fonctionnalité vous permet de diffuser des données de sécurité vers Log Analytics dans Azure Monitor, vers Azure Event Hubs ou vers une autre solution SIEM (Security Information and Event Management), Security Orchestration Automated Response (SOAR) ou une solution de modèle de déploiement classique informatique. Vous pouvez analyser et visualiser les données à l’aide des journaux Azure Monitor et d’autres fonctionnalités Azure Monitor.

Lorsque vous mettez en place l’exportation continue, vous pouvez personnaliser entièrement les informations à exporter et leur destination. Par exemple, vous pouvez la configurer de sorte que :

  • Toutes les alertes de gravité élevée sont envoyées à un Event Hub Azure.
  • Tous les résultats de gravité moyenne ou plus élevée issus des analyses d’évaluation des vulnérabilités de vos ordinateurs exécutant SQL Server sont envoyés à un espace de travail Log Analytics spécifique.
  • Les suggestions spécifiques sont transmises à un Event Hub ou à un espace de travail Log Analytics lorsqu’elles sont générées.
  • Le score sécurisé pour un abonnement est envoyé à un espace de travail Log Analytics chaque fois que le score d’un contrôle change de 0,01 ou plus.

Quels types de données peuvent être exportés ?

Vous pouvez utiliser l’exportation continue pour exporter les types de données suivants à chaque modification :

  • Recommandations relatives à la sécurité.
    • Gravité de la recommandation.
    • Résultats de sécurité.
  • Degré de sécurisation.
    • Contrôles.
  • Alertes de sécurité.
  • Conformité aux normes.
  • Chemins d’attaques

La gravité des recommandations, les résultats de sécurité et les contrôles sont des sous-catégories qui appartiennent à une catégorie parente . Par exemple :

Remarque

Si vous configurez une exportation continue en utilisant l’API REST, incluez toujours le parent avec les résultats.

Exporter des données vers un espace de travail Event Hub ou Log Analytics dans un autre locataire

Vous ne pouvez pas configurer les données à exporter vers un espace de travail Log Analytics dans un autre locataire si vous utilisez Azure Policy pour affecter la configuration. Ce processus ne fonctionne que si vous utilisez l'API REST pour attribuer la configuration et que celle-ci n'est pas prise en charge par le Portail Microsoft Azure (parce qu'elle nécessite un contexte multi-locataire). Azure Lighthouse ne résout pas ce problème avec Azure Policy, bien que vous puissiez utiliser Azure Lighthouse comme méthode d’authentification.

Lorsque vous collectez des données dans un locataire, vous pouvez analyser les données à partir d’un emplacement central.

Pour exporter des données vers un espace de travail Event Hub ou Log Analytics dans un autre locataire :

  • Dans le locataire disposant de l’espace de travail Log Analytics ou Event Hubs, invitez un utilisateur du locataire qui héberge la configuration d’exportation continue, ou vous pouvez configurer Azure Lighthouse pour le locataire source et de destination.

  • Si vous utilisez l'accès des utilisateurs invités d'entreprise à entreprise (B2B) dans Microsoft Entra ID, assurez-vous que l'utilisateur accepte l'invitation à accéder au locataire en tant qu'invité.

  • Si vous utilisez un espace de travail Log Analytics, affectez à l’utilisateur dans le locataire de l’espace de travail l’un des rôles suivants : Propriétaire, Contributeur, Contributeur Log Analytics, Contributeur Sentinel ou Contributeur d’analyse.

  • Créez et envoyez la requête à l’API REST Azure pour configurer les ressources requises. Vous devez gérer les jetons du porteur dans le contexte du locataire local (espace de travail) et du locataire distant (exportation continue).

Exporter vers un espace de travail Log Analytics

Si vous voulez analyser des données Microsoft Defender pour le cloud dans un espace de travail Log Analytics ou utiliser des alertes Azure avec des alertes Defender pour le cloud, configurez l’exportation continue vers votre espace de travail Log Analytics.

Tables et schémas Log Analytics

Les alertes et les recommandations de sécurité sont stockées dans les tables SecurityAlert et SecurityRecommendation respectivement.

Le nom de la solution Log Analytics qui contient ces tables varie selon que vous avez activé les fonctionnalités de sécurité renforcée : Security (la solution Security and Audit) ou SecurityCenterFree.

Conseil

Pour afficher les données dans l’espace de travail de destination, vous devez activer l’une de ces solutions : Security and Audit ou SecurityCenterFree.

Capture d’écran affichant la table SecurityAlert dans Log Analytics.

Pour afficher les schémas d’événements des types de données exportés, consultez schémas de table Log Analytics.